【調査報告】カゴヤ・ジャパン騙りメールの手口変遷史——黎明期から現在までの全記録

HL-META: date=2026-07-06 | brand=KAGOYA(カゴヤ・ジャパン) | sender_geo=多数(記事参照) | site_geo=多数(記事参照) | spf=多数 | dkim=多数 | cloaking=一部あり(2026年以降の事例)

【調査報告】カゴヤ・ジャパン騙りメールの手口変遷史——黎明期から現在までの全記録

Heartland-Lab (ハートランド・ラボ) 専門調査レポート・特集号

レンタルサーバー大手「KAGOYA(カゴヤ・ジャパン)」を騙る詐欺メールは、当ラボが観測を続けてきた中でも特に息の長いテーマです。今回は総集編として、2020年前後の黎明期から現在に至るまでの代表的な事例を振り返り、手口がどのように「進化」してきたのかを一挙にまとめました。

※重要:本記事は過去に当ラボが個別に解析した記事の総まとめです。各事例の詳細な送信元・誘導先データは、それぞれの元記事をご参照ください。

時代 主な手口 偽装工作精度の傾向
黎明期(2020〜2022年) メンテナンス通知・アカウント無効化警告 ★☆☆☆☆〜★★☆☆☆
拡大期(2023〜2025年前半) 送信機能停止・請求先住所更新・プライバシーポリシー同意 ★★☆☆☆〜★★★☆☆
現在(2025〜2026年) 正規テンプレート流用・PDF偽装添付・クローキング ★★★☆☆〜★★★★☆

■ 第一部:黎明期(2020〜2022年)——雑な文面と丸出しの送信元

この時期のKAGOYA騙りは、迷惑メールフィルターを回避するための無意味な文字列(通称「ワードサラダ」)が本文にそのまま混入していたり、宛名が一切なく無差別配信であることが一目でわかるものがほとんどでした。「メンテナンス作業のお知らせ」や「サーバー障害通知」といった、レンタルサーバー利用者なら誰でも一度は目にしたことがありそうな口実が使われましたが、送信元には海外の格安ホスティングがそのまま透けて見える、いわば衣装だけ整えて素顔は隠せていない状態でした。

※2020〜2022年頃に届いた「メンテナンス作業のお知らせ」系のメール画面です。

代表例として、2022年8月の「非アクティブ化を避けるために、メールアカウントを更新してください」という記事があります。宛名なしの一斉配信で、リンク先ドメインもKAGOYAとは似ても似つかないものでした。この頃はまだ、送信元を一目見れば「ああ、またか」と分かるレベルの雑さが主流だったのです。

■ 第二部:拡大期(2023〜2025年前半)——口実の多様化とインフラの巧妙化

この時期になると、「メール送信機能停止」「メール保存障害」「請求先住所の即時更新」「プライバシーポリシー同意のリマインダー」など、口実のバリエーションが一気に増えました。単なる警告文だけでなく、利用者の実務上の不安(メールが送れなくなる、サービスが止まる)を具体的に突いてくる作りへと変化しています。

 

※2023〜2025年頃の「メール送信機能停止」系の通知メール画面です。

💡ここで!

送信元の「踏み台」とは

2025年3月の「メール保存障害のお知らせ」という記事では、送信元がBIGLOBEという実在の日本のプロバイダのドメインを使っており、調査の結果、栃木県小山市の一般利用者の回線から送信されていたことが判明しました。これは何者かが個人のメールアカウントを乗っ取り、気づかれないまま「踏み台」として悪用したケースです。攻撃者自身の設備を使わないことで、発信元の特定を難しくする狙いがあります。

また同時期の「緊急通知:サービス停止を回避するため、請求先住所の即時更新が必要です」では、送信元がロサンゼルス付近、誘導先の偽サイトがマレーシアのクアラルンプールという、地球の裏側をまたにかけた構成になっていました。ちなみに件名だけは変わっても本文はほぼ使い回しで、同じテンプレートを1ヶ月足らずでもう一度使い回しているのが確認できるほど、量産体制が伺えます(笑)。

■ 第三部:現在(2025〜2026年)——正規インフラ・正規テンプレートの悪用

直近1年ほどの事例は、明らかに一段階レベルが上がっています。SPF・DKIM(送信元認証やメールの改ざん検知の仕組み)を正規に通過させる偽装、スマートフォンとパソコンで表示内容を変える「クローキング」、そして有名企業の本物のメールテンプレートをそのまま流用する手口まで登場しました。

※2026年に入ってからの、より巧妙化した通知メールの画面です。

2026年2月の「保留中の受信メールが6件あります」では、送信元にGoogle Cloudの正規インフラ(bc.googleusercontent.com)を悪用していました。ところが件名では「6件」とうたっておきながら、本文中では「3件」と書かれているという初歩的な矛盾が残っており、正規インフラを借りても算数はごまかせないようです(笑)。同年6月の「KAGOYAの請求書をご確認ください」では、ファイル名こそPDFに見えるものの実態は「.PDF.htm」というHTMLファイルで、開いた瞬間に偽サイトへ強制的に飛ばされる仕掛けが確認されています。さらに5月の「隔離中に保管されている重要書類」ではクローキングが実装され、調査環境によって見せる顔を変える芸の細かさも見られました。

■ そして今日確認した3通

本記事を執筆した2026年7月6日にも、KAGOYA騙りが3通同時に届きました。それぞれ全く違うインフラを使っており、この手口が今なお現役かつ多系統で活動していることがよく分かります。

  • 日本国内の個人回線を踏み台にした多段中継型(executiveonelimousine.comを再利用)
  • シンガポール発のVPSサーバーを経由した中継型
  • Googleの本物の漏洩通知メールを流用し、無関係な他社のコピーライトがそのまま残ってしまったテンプレート流用型

それぞれの詳しい解析は、個別記事にて公開しています。

■ 7年近く変わらない見分け方のポイント

  1. 送信元アドレスのドメインを必ず確認してください。KAGOYAの正規ドメインには必ず「kagoya」という屋号が入ります。それ以外のドメインから届いたKAGOYAを名乗るメールは、時代を問わず全て偽物です。
  2. メール内のリンクやボタンは絶対にクリックしないでください。手口がどれだけ巧妙化しても、この一点を守るだけで被害の大半は防げます。
  3. 公式サイト・ブックマークからアクセス:コントロールパネルやWebメールへのログインは、必ずお気に入り登録した公式サイトから行ってください。
  4. 公式サポートへの確認:心当たりのない通知メールが届いた場合は、KAGOYA公式サポートセンターへ直接お問い合わせください。

本レポートの結論

7年近い期間を振り返ると、KAGOYA騙りメールの手口は「雑なワードサラダ」から「正規インフラ・正規テンプレートの悪用」へと着実に進化してきたことが分かります。ただし、どれだけ手口が巧妙になっても「送信元ドメインを確認する」「リンクをクリックしない」という基本の防御法だけは、黎明期から今日に至るまで一貫して有効です。身近にKAGOYAのサーバーをご利用中の方がいれば、この記事のURLをコピーして、家族や職場のLINEグループで『これ気をつけて!』と共有してあげてください。

※本記事は過去の解析記事を基にした総集編です。各事例の詳細なIPアドレス・ロケーション情報は、それぞれの元記事の調査時点のものであり、日々変化する可能性があります。
Data Provided by Heartland-Lab Security Research Unit
根拠データ参照元:ip-sc.net

      🛡️ Heartland 管理者が推奨する「究極の対策セット」  

          ① 【最強の物理防壁】YubiKey 5 NFC  🔑

パスワードが盗まれても、物理的な「鍵」がない限りログインさせない究極の対策です。

Amazonで詳細を見る

          ② 【定番の安心】ウイルスバスター クラウド 3年版  🛡️

巧妙な詐欺サイトを自動で検知・ブロック。手間をかけずに守りたい方に最適です。

Amazonで詳細を見る